新たに発見されたマルウェア攻撃は、App Store で入手可能なアプリの脆弱性を悪用して iOS から暗号通貨を盗むものです。
カスペルスキーの研究者は、iOSとAndroidの両方で動作する複数のアプリに隠された「SparkCat」と呼ばれる悪意のあるソフトウェア開発キット(SDK)を発見しました。SparkCatは、光学文字認識(OCR)を用いて暗号通貨ウォレットの復元フレーズを盗み出すように設計されており、攻撃者がリモートから資金にアクセスして流出させることが可能です。
カスペルスキーは、悪意のあるSparkCat SDKに関連するMD5ハッシュのリストと、iOSアプリのバンドルIDを公開しました。しかし、感染アプリの全リストは明らかにされておらず、ユーザーは自分がインストールしたアプリかどうか判断できません。
ChatAi のようにいくつかは特定されているが、多くは名前が明かされていないため、ユーザーのデバイスにマルウェアがまだ潜んでいる可能性があるという懸念が生じている。
Google Playで感染したアプリは24万2000回以上ダウンロードされており、SparkCatはAppleのApp Store審査をすり抜けた暗号資産窃取マルウェアの初の事例とみられる。このマルウェアは当初、UAEとインドネシアで提供されていた「ComeCome」というフードデリバリーアプリで発見された。
不審なSDKが呼び出されている。画像提供:カスペルスキー
研究者らは、このマルウェアは少なくとも2024年3月から活動しており、ユーザーのフォトギャラリーをスキャンしてウォレット復元フレーズを探し、それを攻撃者が管理するコマンドアンドコントロール(C2)サーバーに密かにアップロードしていると断定した。
非公式なソースから拡散が主だった過去のマルウェアとは異なり、SparkCatは正規のアプリストアに潜入することで、より深刻な脅威となっています。また、モバイルアプリでは珍しいプログラミング言語であるRustで構築されたカスタムプロトコルを使用して攻撃者と通信します。
感染したアプリの中には、食品配達や AI 搭載メッセージング アプリなど、正当なもののように見えるものもあったが、ユーザーを誘い込むために作成されたものもあったようだ。
Appleは、カスペルスキーの報告書で言及されている11個のiOSアプリをApp Storeから削除しました。また、これらのアプリは、過去に不正行為の違反により拒否または削除された89個のアプリとコード署名を共有していることも判明しました。これらのアプリの開発者は既にアカウントを停止されています。
重要なのは、Appleユーザーは、サードパーティ製アプリが写真やその他のAppleサービスなどの機密データにアクセスできるかどうかを決定できることです。アプリが他のアプリに初めて情報を要求する際、その理由を説明するプロンプトが表示されます。ユーザーはいつでも設定からこれらの権限を変更できます。
暗号資産を守る方法
SparkCatと同様に、一部のマルウェアはOCRを利用して画像からテキストを抽出します。復元フレーズをスクリーンショットや写真として保存すると、攻撃者が使用する自動スキャンツールの標的になりやすくなります。
インストールしたアプリを定期的に確認し、見慣れないアプリや不要なアプリは削除しましょう。信頼できるモバイルセキュリティアプリを使用することで、潜在的な脅威を未然に防ぐことができます。
OCR画像処理結果からキーワードを検索する。画像提供:カスペルスキー
ウォレットが侵害された可能性があると思われる場合は、デバイスがクリーンであることを確認してから、新しい回復フレーズを使用して資金を新しいウォレットに転送してください。
つまり、疑わしいアプリ、特にセキュリティレポートでフラグが付けられたアプリはすべて削除するということです。また、アプリの権限をリセットし、キャッシュデータを消去して、残っている脅威を取り除くこともお勧めします。
バックアップから復元する前に、マルウェアが再侵入するリスクがあるため、感染したアプリが含まれていないことを確認してください。リセット後は、リスクを最小限に抑えるため、信頼できるソースから必要なアプリのみを再インストールしてください。
